网络安全工程(实验15)配置stub区域
再上一章中的基础上添加AR6
AR4上新加的配置:
int g0/0/1
ip address 192.168.45.4 24
quit
ospf 4 router-id 4.4.4.4
area 45
network 192.168.45.4 0.0.0.0
quit
AR6上的配置:
undo terminal monitor
system-view
sysname AR6
int g0/0/0
ip address 192.168.45.5 24
quit
ospf 6 router-id 6.6.6.6
area 45
network 192.168.45.5 0.0.0.0
quit
配置完成之后,在AR1上查看链路状态数据库:
多了条192.168.45.0的条目
AR1上有两条5类LSA
AR4上面的链路状态数据库:
AR6上的链路状态数据库:
经过测试PC可以ping通AR6:
AR6可以ping通PC:
静态路由不稳定---------5类LSA 就不稳定---------整个内网都不稳定
现在期望area 45特别稳定,那么就将他做成stub区域
一旦把area 45做成末节区,那么这个区域就没有5类LSA
将这个区域做成stub区域之后,他的数据库就不会发生变化,就没有5类LSA,但是可以与外网通信
5类LSA对应OSPF的外部路由
凡是根据import-route 引入的都是OSPF的外部路由
凡是通过network引入的都是OSPF的内部路由
现在希望area 45,不受到192.168.67.0网段的影响,那么将这个area 45区域所有的路由器都做成Stub区域
在AR4上配置:
system-view
ospf 4
area 45
stub
quit
在AR6上配置:
system-view
ospf 6
area 45
stub
quit
AR1的Area flag则是:Normal
并且不受内部路由---区域之间路由的影响,配置totalstub区域<完全stun区域>(只在ABR上配置)
在AR4上配置:
ospf 4
area 45
stub no-summary
quit
测试:
查看AR6的链路状态数据库:
发现AR6的链路状态数据库已经没有5类LSA,但是AR6可以与AR5通信,因为在AR6的链路状态数据库多了一条LinkState ID 为0.0.0.0的静态路由,所以虽然没有了5类LSA的外部路由,但是依然能够与AR5通信
现在用AR6pingAR5:
查看AR4的链路状态数据库:
同样产生了一条静态路由
产生这种现象的本质原因:
现在我们在AR4与AR6之间抓包分析:
IP数据报下面就是OSPF报文
这是OSPF报文的头部
下面我们来看OSPF报文的内部:
OSPF数据包里面我们发现有一个options选项,就是由于这个选项
这个置为1:表示有外部路由的能力(言外之意就是我可以要5类LSA的)
外部路由(指5类LSA)
所以在这个数据包当中,我们发现AR4与AR6发送的OSPF包中的options选项中的该位为0,因此是没有外部路由能力的
!!!!!!!!!!!!(那如果我们只配置一端为stub,而另外一端不配置呢?)
现在我们将AR6不配置为stub区域
那么现在来抓包分析:
这个是AR4发给AR6的OSPF数据包,我们发现options是0x00:
options选项中的E位也是0,因此AR4是没有外部路由的能力的
现在我们看AR6给AR4发的OSPF报文,我们发现options是0x02(E):
我们发现,options选项中的E位是是置为1的,因此AR6有外部路由的能力
所以邻居建立不起来,不能生成正确的链路状态数据库,也就不能正常通信了
通过检查OSPF的错误报告:
因此area 45包含的路由器都要配置为stub区域才可以:
当我们将AR6的area 45再次配置为stub区域时
可见AR6此时,OSPF邻居建立成功
链路状态数据库也恢复了
下来,我们再来抓包分析:
AR6给AR4发送的OSPF报文的options为0x00,并且E位置为0,那就表示AR6没有了外部路由的能力
浙公网安备 33010602011771号